SELinux dla opornych

Czyli jak rozwi膮za膰 problem z serii 'co艣 nie dzia艂a’. 馃檪

W 艣rodowiskach chronionych SELinuxem, cz臋sto dochodzi si臋 do sytuacji w kt贸rej jest ok, ale 'co艣 nie dzia艂a’. Dostajemy jakie艣 permission denied, czy inny nic nam nie m贸wi膮cy komunikat. Gdzie szuka膰 podpowiedzi?

Na Fedorze trzeba podejrze膰

/var/log/audit/audit.log

Je偶eli widzimy tam linie ze s艂贸wkiem 'deny’, to jest du偶e prawdopodobie艅stwo, 偶e znale藕li艣my winowajc臋. Co dalej?

Przepuszczamy nasz plik loga przez skrypt t艂umacz膮cy co zrobi膰.

sealert -a audit.log > wynik.txt

W pliku wynik b臋dziemy mieli 艂opatologicznie wyt艂umaczone co zrobi膰, 偶eby dane deny znik艂o. Czasami podpowiedzi mo偶e by膰 kilka. Trzeba wybra膰 czy np. prze艂aczamy jak膮艣 flag臋 globalnie, a mo偶e lepiej poprawi膰 kontekst jednego pliku. Tutaj wyb贸r nale偶y ju偶 do nas.

Na koniec najwa偶niejsze… SELinux jest skuteczny. Eliminuje sporo zagro偶e艅. Wy艂膮czanie go to bardzo, ale to bardzo durny pomys艂.

Dzi臋ki za komentarz!